Hackeei minha universidade e obtive acesso aos dados de todos os alunos
Introdução
Meu nome é Vitor. No momento em que escrevo esta publicação, estou indo para o 3º período do Bacharelado em Tecnologia da Informação na Universidade Federal do Rio Grande do Norte (UFRN). E sim, é isso mesmo que você leu no título. Mas calma, não se preocupe: os dados de todo mundo estão protegidos e nada foi vazado. Deixe-me contar melhor como tudo isso aconteceu.
O sistema de gestão acadêmica utilizado pela UFRN é o SIGAA (Sistema Integrado de Gestão de Atividades Acadêmicas), desenvolvido pela Superintendência de TI (STI) aqui da universidade e usado por dezenas de instituições em todo o Brasil. A STI/UFRN mantém uma API de uso restrito que permite interagir com dados do SIGAA. Um dos clientes dessa API é o SIGAA Mobile, aplicativo que permite aos estudantes acessarem seus principais dados acadêmicos de maneira fácil.
A Curiosidade Matou o Gato? (Quase)
Como estudante de TI, sou naturalmente curioso. Eu tinha planos de criar um chatbot com IA para consultar notas e informações acadêmicas. Como não tinha acesso à API, resolvi fazer engenharia reversa do SIGAA Mobile usando o emulador Genymotion e o HTTP Toolkit para inspecionar as requisições. Tudo isso em ambiente controlado, usando apenas minha própria conta.
Ao inspecionar o tráfego, descobri a API, e achei sua documentação. Comecei a testar vários endpoints para entender como funcionavam e quais eram os limites de validação.
O Momento "Eita..."
Em certo momento, me deparei com um endpoint de busca de usuários. Quando executei a requisição, veio a surpresa: a API retornou nome, CPF e e-mail pessoal de usuários cadastrados no sistema — não apenas alunos, mas provavelmente professores e servidores.
Fiquei em choque. Até cheguei a pensar que esses poderiam ser dados públicos, mas pesquisei e vi que, à luz da LGPD, aquilo era uma exposição crítica. Segundo a OWASP Top 10 de 2025, essa é a falha de segunrança mais comum.
Naquele momento, o medo bateu. Pensei que poderia ser mal-interpretado, que eu não deveria está usando o sistema dessa form, mas eu entendi que eu precisava reportar aquilo antes que alguém mal-intencionado descobrisse.
Responsible Disclosure (Divulgação Responsável)
Imediatamente interrompi os testes e enviei um e-mail para a STI detalhando a vulnerabilidade, o passo a passo para reprodução e o impacto, deixando claro que não realizei extração de dados de terceiros.
A resposta foi exemplar. A equipe da STI entrou em contato no mesmo dia. Recebi agradecimentos pela postura ética e profissional, fui convidado a participar de processos seletivos para bolsas e mantivemos o acordo de divulgação apenas após a correção.
O patch de segurança foi aplicado poucos dias depois.
Conclusão
A STI demonstrou ser uma equipe madura e profissional, e fico honrado em ter contribuído para a segurança dos dados de toda a comunidade acadêmica da UFRN.
Essa experiência reforçou que agir com ética e responsabilidade, mesmo em situações delicadas, é sempre o melhor caminho.
Postei esse relato com mais detalhes no meu blog.